Abbiamo discusso delle nuove linee guida dell'Agenzia per la Cybersicurezza Nazionale (ACN) per l'accreditamento dei servizi cloud destinati alla pubblica amministrazione. Queste linee guida sono parte della strategia Cloud Italia e richiedono che i fornitori di servizi cloud ottengano una qualificazione basata su diversi livelli di sicurezza, identificati come QC1, QC2, QC3, QC4 per i servizi e I1 fino a I4 per le infrastrutture. La qualificazione dipende dalla classificazione dei dati gestiti dalla pubblica amministrazione, che possono essere ordinari, critici o strategici.
Durante il regime transitorio, durato circa due anni, le qualificazioni avevano una durata limitata a uno o due anni. Con l'entrata in vigore del regime ordinario il 1° agosto, la durata delle qualificazioni sarà estesa a tre anni. Le pubbliche amministrazioni dovranno assicurarsi che i fornitori siano qualificati per il livello di sicurezza richiesto dai dati trattati, verificando la presenza nel catalogo dei fornitori tenuto da ACN.
Ogni servizio offerto deve essere qualificato individualmente. Ad esempio, un'azienda come Microsoft potrebbe avere Office 365 qualificato, ma necessitare di una qualificazione separata per altri servizi come le VPS. Le nuove applicazioni basate su servizi esistenti devono anch'esse essere qualificate.
ACN ha il potere di verificare in qualsiasi momento la conformità dei fornitori ai requisiti dichiarati e può revocare la qualificazione in caso di non conformità. Le verifiche possono essere innescate da incidenti di sicurezza o discrepanze nelle dichiarazioni iniziali, con conseguenze legali per dichiarazioni mendaci.
ACN ha un ruolo centrale nell'applicazione della normativa NIS II, che rafforza ulteriormente le sue competenze in materia di sicurezza. Le nuove linee guida prevedono requisiti di sicurezza dettagliati, che saranno pienamente applicabili sei mesi dopo l'entrata in vigore del regolamento.
Le pubbliche amministrazioni e le società in housing sono anch'esse soggette a questi requisiti. Tuttavia, la qualificazione non è richiesta per i servizi forniti ai privati, a meno che non trattino dati della pubblica amministrazione. In tal caso, i fornitori devono garantire lo stesso livello di sicurezza richiesto alla pubblica amministrazione.
🎙️ Ospite: Valerio, avvocato e partner di 42 Law Firm, esperto in consulenza legale per la sicurezza informatica e la regolamentazione dei servizi cloud.
In questa Puntata
Le nuove linee guida dell'Agenzia per la Cybersicurezza Nazionale (ACN) per l'accreditamento alla vendita di servizi cloud alla pubblica amministrazione impongono requisiti stringenti. Le aziende devono ottenere qualificazioni specifiche per ciascun servizio offerto, con implicazioni legali significative in caso di dichiarazioni false. Il regime ordinario entrerà in vigore il 1° agosto, sostituendo quello transitorio, e richiederà verifiche periodiche da parte di ACN.